Microsoft bulut güvenliği karşılaştırması (v1) genel bakış

Microsoft bulut güvenliği karşılaştırması (MCSB), Azure'da ve çok bulutlu ortamınızda iş yüklerinin, verilerin ve hizmetlerin güvenliğini iyileştirmeye yardımcı olmak için açıklayıcı en iyi yöntemler ve öneriler sağlar. Bu kıyaslama, aşağıdakileri içeren bir dizi bütünsel Microsoft ve sektör güvenliği kılavuzundan alınan girişlerle bulut merkezli denetim alanlarına odaklanır:

Microsoft bulut güvenliği karşılaştırması v1'deki yenilikler

Not

Microsoft bulut güvenliği karşılaştırması, Ekim 2022'de yeniden markalanan Azure Güvenlik Karşılaştırması'nın (ASB) ardılıdır.

MCSB'de Google Cloud Platform desteği artık hem MCSB karşılaştırma kılavuzunda hem de Bulut için Microsoft Defender'de önizleme özelliği olarak kullanılabilir.

Microsoft bulut güvenliği karşılaştırması v1'deki yenilikler:

  1. Kapsamlı çok bulutlu güvenlik çerçevesi: Kuruluşların her birinde güvenlik ve uyumluluk gereksinimlerini karşılamak için birden çok bulut platformundaki güvenlik denetimlerini mutabık hale getirmek için genellikle bir iç güvenlik standardı oluşturması gerekir. Bu genellikle güvenlik ekiplerinin farklı bulut ortamlarında (genellikle farklı uyumluluk standartları için) aynı uygulamayı, izlemeyi ve değerlendirmeyi yinelemesini gerektirir. Bu, gereksiz ek yük, maliyet ve efor oluşturur. Bu endişeyi gidermek için, farklı bulutlarla hızlı bir şekilde çalışmanıza yardımcı olmak için ASB'den MCSB'ye şunları yaptık:

    • Bulutlardaki güvenlik denetimlerini kolayca karşılamak için tek bir denetim çerçevesi sağlama
    • Bulut için Defender'da çoklu bulut güvenlik karşılaştırmasını izlemek ve zorlamak için tutarlı kullanıcı deneyimi sağlama
    • Endüstri Standartları ile uyumlu kalma (CIS, NIST, PCI gibi)

    ASB ile CIS Karşılaştırması arasında eşleme

  2. Bulut için Microsoft Defender'nde AWS için otomatik denetim izleme: Aws ortamınızı MCSB'ye karşı izlemek için bulut düzenleme uyumluluğu panosu için Microsoft Defender kullanabilirsiniz. Aynı Azure ortamınızı nasıl izlediğiniz gibi. MCSB'deki yeni AWS güvenlik kılavuzu için yaklaşık 180 AWS denetimi geliştirdik ve bulut için Microsoft Defender'de AWS ortamınızı ve kaynaklarınızı izlemenize olanak tanır.

    Bulut için Microsoft Defender MSCB tümleştirmesinin ekran görüntüsü

  3. Mevcut Azure yönergeleri ve güvenlik ilkelerinin yenilenmesi: Bu güncelleştirme sırasında mevcut Azure güvenlik yönergeleri ve güvenlik ilkelerinden bazılarını da yeniledik, böylece en son Azure özellikleri ve özellikleriyle güncel kalabilirsiniz.

Denetimler

Denetim Etki Alanları Description
Ağ güvenliği (NS) Ağ Güvenliği; sanal ağların güvenliğini sağlama, özel bağlantılar kurma, dış saldırıları önleme ve azaltma ve DNS güvenliğini sağlama dahil olmak üzere ağların güvenliğini sağlamaya ve korumaya yönelik denetimleri kapsar.
Kimlik Yönetimi (IM) Kimlik Yönetimi; uygulamalar için çoklu oturum açma, güçlü kimlik doğrulamaları, yönetilen kimlikler (ve hizmet sorumluları) kullanımı, koşullu erişim ve hesap anomalilerini izleme dahil olmak üzere kimlik ve erişim yönetim sistemlerini kullanarak güvenli bir kimlik ve erişim denetimleri oluşturmaya yönelik denetimleri kapsar.
Privileged Access (PA) Privileged Access, kiracınıza ve kaynaklarınıza ayrıcalıklı erişimi korumaya yönelik denetimleri kapsar. Buna yönetim modelinizi, yönetim hesaplarınızı ve ayrıcalıklı erişim iş istasyonlarınızı kasıtlı ve yanlışlıkla risklere karşı korumaya yönelik çeşitli denetimler de dahildir.
Veri Koruması (DP) Veri Koruması, erişim denetimi, şifreleme, anahtar yönetimi ve sertifika yönetimi kullanarak hassas veri varlıklarını bulma, sınıflandırma, koruma ve izleme dahil olmak üzere bekleyen, aktarımdaki ve yetkili erişim mekanizmaları aracılığıyla veri koruma denetimini kapsar.
Varlık Yönetimi (AM) Varlık Yönetimi; güvenlik personeli izinleri, varlık envanterine güvenlik erişimi ve hizmetler ve kaynaklar için onayları yönetme (envanter, izleme ve doğru) gibi kaynaklar üzerinde güvenlik görünürlüğünü ve idaresini sağlamaya yönelik denetimleri kapsar.
Günlüğe Kaydetme ve Tehdit Algılama (LT) Günlüğe Kaydetme ve Tehdit Algılama, bulut hizmetlerinde yerel tehdit algılama ile yüksek kaliteli uyarılar oluşturmaya yönelik denetimlerle algılama, araştırma ve düzeltme işlemlerini etkinleştirme dahil olmak üzere bulut hizmetleri için denetim günlüklerini etkinleştirme, toplama ve depolama denetimlerini kapsar; Ayrıca bir bulut izleme hizmetiyle günlükleri toplamayı, güvenlik analizini SIEM ile merkezileştirmeyi, zaman eşitlemeyi ve günlük saklamayı içerir.
Olay Yanıtı (IR) Olay Yanıtı olay yanıtı yaşam döngüsündeki denetimleri kapsar: Olay yanıtı sürecini otomatikleştirmek için Azure hizmetlerini (Bulut ve Sentinel için Microsoft Defender gibi) ve/veya diğer bulut hizmetlerini kullanma dahil olmak üzere hazırlık, algılama ve analiz, kapsama ve olay sonrası etkinlikler.
Duruş ve Güvenlik Açığı Yönetimi (PV) Duruş ve Güvenlik Açığı Yönetimi, güvenlik açığı taraması, sızma testi ve düzeltmenin yanı sıra bulut kaynaklarında güvenlik yapılandırması izleme, raporlama ve düzeltme gibi bulut güvenlik duruşunu değerlendirmeye ve geliştirmeye yönelik denetimlere odaklanır.
Uç Nokta Güvenliği (ES) Endpoint Security, bulut ortamlarındaki uç noktalar için uç nokta algılama ve yanıt (EDR) ve kötü amaçlı yazılımdan koruma hizmeti kullanımı dahil olmak üzere uç nokta algılama ve yanıt denetimlerini kapsar.
Yedekleme ve Kurtarma (BR) Yedekleme ve Kurtarma, farklı hizmet katmanlarında veri ve yapılandırma yedeklemelerinin gerçekleştirildiğinden, doğrulandığından ve korunduğundan emin olmak için denetimleri kapsar.
DevOps Güvenliği (DS) DevOps Güvenliği, DevOps işlemi boyunca güvenliği sağlamak için dağıtım aşamasından önce kritik güvenlik denetimlerinin (statik uygulama güvenlik testi, güvenlik açığı yönetimi gibi) dağıtımı dahil olmak üzere DevOps işlemlerindeki güvenlik mühendisliği ve işlemleriyle ilgili denetimleri kapsar; ayrıca tehdit modelleme ve yazılım tedarik güvenliği gibi yaygın konuları da içerir.
İdare ve Strateji (GS) İdare ve Strateji, farklı bulut güvenliği işlevleri için rol ve sorumluluklar oluşturma, birleşik teknik strateji ve ilkeleri ve standartları destekleme de dahil olmak üzere güvenlik güvencesini yönlendirmek ve sürdürmek için tutarlı bir güvenlik stratejisinin ve belgelenmiş idare yaklaşımının sağlanmasına yönelik rehberlik sağlar.

Microsoft bulut güvenliği karşılaştırması önerileri

Her öneri aşağıdaki bilgileri içerir:

  • Kimlik: Öneriye karşılık gelen Karşılaştırma Kimliği.
  • CIS Denetimleri v8 Kimlikleri: Öneriye karşılık gelen CIS Denetimleri v8 denetimleri.
  • CIS Denetimleri v7.1 Kimlikleri: Öneriye karşılık gelen CIS Denetimleri v7.1 denetimleri (biçimlendirme nedeniyle web'de kullanılamaz).
  • PCI-DSS v3.2.1 kimlikleri: Öneriye karşılık gelen PCI-DSS v3.2.1 denetimleri.
  • NIST SP 800-53 r4 kimlikleri: NIST SP 800-53 r4 (Orta ve Yüksek) denetimleri bu öneriye karşılık gelir.
  • Güvenlik İlkesi: Öneri, teknolojiden bağımsız düzeyde denetimi açıklayan "ne" üzerine odaklandı.
  • Azure Kılavuzu: Öneri, Azure teknik özellikleri ve uygulama temellerini açıklayan "nasıl" üzerine odaklanmıştır.
  • AWS Kılavuzu: Öneri, AWS teknik özelliklerini ve uygulama temellerini açıklayan "nasıl" üzerine odaklanmıştır.
  • Uygulama ve ek bağlam: Uygulama ayrıntıları ve Azure ve AWS hizmeti teklifi belge makalelerine bağlanan diğer ilgili bağlam.
  • Müşteri Güvenliği Paydaşları: Müşteri kuruluşunda ilgili denetimden sorumlu, sorumlu veya danışmanlık yapan güvenlik işlevleri . Şirketinizin güvenlik kuruluş yapısına ve Azure güvenliğiyle ilgili olarak ayarladığınız rol ve sorumluluklara bağlı olarak kuruluştan kuruluşa farklı olabilir.

MCSB ile endüstri karşılaştırmaları (CIS, NIST ve PCI gibi) arasındaki denetim eşlemeleri yalnızca belirli bir Azure özelliğinin bu sektör karşılaştırmalarında tanımlanan denetim gereksinimini tamamen veya kısmen ele almak için kullanılabileceğini gösterir. Bu tür bir uygulamanın, bu sektör karşılaştırmalarında karşılık gelen denetimlerin tam uyumluluğuna çevrilmesi gerekmediğini unutmayın.

Microsoft bulut güvenliği karşılaştırması çalışmalarında ayrıntılı geri bildirimlerinizi ve etkin katılımınızı memnuniyetle karşılıyoruz. Doğrudan giriş sağlamak isterseniz adresinden bize benchmarkfeedback@microsoft.come-posta gönderin.

İndir

Kıyaslama ve temel çevrimdışı kopyasını elektronik tablo biçiminde indirebilirsiniz.

Sonraki adımlar